Künftig soll der Patient per Smartphone steuern können, welcher Arzt welche Befunde einsehen kann. Patienten, die über kein Smartphone verfügen, werden dabei nicht berücksichtigt. Der Bundesdatenschutzbeauftragte hält diese Pläne für rechtswidrig. Der Streit um die elektronische Patientenakte geht damit weiter.
Der Inhalt im Überblick
- Die elektronische Patientenakte
- Feingranulares Management ab 2022 für Krankenkassen verpflichtend
- Bundesdatenschutzbeauftragter fordert datenschutzrechtliche Verbesserungen der ePA
- Der BfDI kritisiert Vorgehen der Krankenkassen
- Die Krankenkassen verweisen auf Sozialgesetzbuch
- Allerdings handelt es sich bei der DSGVO um Europarecht
Die elektronische Patientenakte
Seit dem 01. Januar 2021 können gesetzlich Versicherte eine elektronische Patientenakte (ePA) ihrer Krankenkasse erhalten. Über Praxis- und Krankenhausgrenzen hinweg können nun medizinische Befunde und Informationen aus vorhergehenden Untersuchungen und Behandlungen umfassend gespeichert werden. Das Angebot der elektronischen Personalakte ist für die Patienten freiwillig. Dies wurde aufgrund einer Verfassungsbeschwerde zu Beginn dieses Jahres bereits durch das Bundesverfassungsgericht festgestellt.
Feingranulares Management ab 2022 für Krankenkassen verpflichtend
Ab dem 01. Januar 2022 wird nun auch das feingranulare Management im Rahmen der ePA für Krankenkassen verpflichtend. Bisher ist es den Versicherten nicht möglich, die Zugriffsmöglichkeiten zu ärztlichen Befunden auf einzelne Ärzte zu beschränken. Sobald ein Patient demzufolge in die Nutzung der ePA einwilligt und in der Akte ärztliche Dokumente zur Verwaltung eingepflegt werden, können sämtliche Ärzte des Patienten auf alle in der ePA gespeicherten Dokumente zugreifen. Es gilt also das Alles-oder-Nichts-Prinzip.
Per Gesetz soll es nun künftig möglich sein, den Zugang für Arztpraxen oder Pflegeeinrichtungen zu den einzelnen, in der ePA hinterlegten Dokumenten, feingranular einzustellen. Zunächst gelte dies jedoch nur für Nutzer moderner Smartphones oder Tablets. Für Menschen ohne entsprechende Endgeräte sollen die Möglichkeiten für Zugriffe erst ab 2023 in den Filialen der Krankenkassen ermöglicht werden.
Bundesdatenschutzbeauftragter fordert datenschutzrechtliche Verbesserungen der ePA
Mitte September erhielten vier große gesetzliche Krankenkassen nun einen Bescheid (Volltext) vom Bundesdatenschutzbeauftragten (BfDI) Ulrich Kelber. In diesem Bescheid werden die Krankenkassen angewiesen, allen Patienten den gleichen, von der Datenschutz-Grundverordnung (DSGVO) garantierten Datenschutz, zu gewähren. Insbesondere müsse auch den Versicherten ohne Smartphone eine Einstellung der Zugriffsberechtigungen ermöglicht werden, um ein gleichwertiges Schutzniveau aller Versicherten gewährleisten zu können.
Nach den Ausführungen Kelbers sei Ziel der Anweisung
„gleiches Recht für alle Versicherten“
Würden sich die Krankenkassen jedoch nur an nationales Recht halten, hätten Smartphone Nutzer mehr Rechte als diejenigen, die nicht über ein solches Gerät verfügen.
Der BfDI kritisiert Vorgehen der Krankenkassen
Nach den Ausführungen im 29. Tätigkeitsbericht werde eine große Gruppe von Menschen, die kein eigenes Gerät besitzen oder keines besitzen wollen, von den geplanten Änderungen nicht erfasst. Diese Patienten würden weiterhin in ihrer Patientensouveränität beschränkt.
Alternativ können einem Vertreter mit einem geeigneten technischen Gerät Vertretungsrechte eingeräumt werden. Dies hätte jedoch zur Folge, dass die Versicherten dem Vertretenden alle in ihrer ePA vorhandenen Gesundheitsdaten, d.h. auch intimste Informationen, offenbaren müssten.
Darüber hinaus sei es nach Ansicht des BfDI datenschutzrechtlich kritisch zu bewerten, dass eine Vielzahl von Patienten damit auf Dauer keinen Einblick in die eigene, von ihnen selbst zu führende ePA haben werden. Sie werden also von einer entsprechenden Nutzung der ePA ausgeschlossen. Folglich kann diese Personengruppe auch nicht von den Vorteilen einer ePA in der Gesundheitsversorgung profitieren.
Die Krankenkassen verweisen auf Sozialgesetzbuch
Nach den Vorschriften des fünften Buchs des Sozialgesetzbuchs sei bisher nur die Einrichtung eines Zugriffsmanagements für Endgeräte gefordert. Mit der geplanten Änderung zum 01. Januar 2022 würden die Krankenkassen nach eigenen Angaben demnach die gesetzlichen Vorgaben umsetzen. Diese Umsetzung sei insbesondere auch durch die Aufsichtsbehörde der Krankenkassen, das Bundesamt für Soziale Sicherung, bestätigt worden.
Allerdings handelt es sich bei der DSGVO um Europarecht
Bei den in der ePA gespeicherten Informationen handelt es sich grundsätzlich um Gesundheitsdaten und damit um sensible Daten im Sinne des Art. 9 DSGVO. Unter Berücksichtigung der besonderen Schutzbedürftigkeit von Gesundheitsdaten sollten die Versicherten die volle Hoheit über ihre Daten haben. Dies umfasst auch die Möglichkeit der Einstellung von Zugriffsbeschränkungen. Die fehlende Möglichkeit der Einschränkung von Berechtigungen kann damit einen Verstoß gegen die DSGVO darstellen. Als europäische Verordnung steht diese im Zweifel über dem nationalen Recht.
Gegen die Weisung des Bundesdatenschutzbeauftragten können die Kassen nun innerhalb eines Monats klagen. In diesem Fall müsste das Sozialgericht Köln über die Rechtmäßigkeit der Weisung entscheiden.
Da sind mehrere spannende Fragen drin. Die erste wäre, ob die DS-GVO im Gesundheitsbereich überhaupt Anwendung findet – das BSG hat das wg. Art. 168 Abs. 7 AEUV ausdrücklich offen gelassen (BSG, Urteil vom 20.1.2021 – B 1 KR 7/20 R). Das wäre aber Voraussetzung, um das deutsche Recht am Maßstab des EU-Rechts zu prüfen. Die zweite Frage wäre, gegen welche Vorgabe der DS-GVO genau verstoßen sein soll. Das wird nämilich nie im Detail dargelegt von den Aufsichtsbehörden. Die dritte wäre, ob das Datenschutzrecht eigentlich der richtige Anknüpfungspunkt ist, um den gleichen Zugang zu freiwilligen Zusatzangeboten des Sozialversicherungsrechts zu erreichen: Gebietet der allgemeine Gleichheitssatz bei derivativen Teilhaberechten überhaupt solch ein Recht? Die vierte Frage wäre, ob die Problematik durch die Einführung des Desktopzugangs nach § 342 Abs. 7 SGB V durch das DVPMG nicht ausreichend adressiert wurde.
Das BAS als Aufsichtsbehörde der betroffenen Krankenkassen teilt die Auffassung des BfDI übrigens nicht. Und die Landesaufsichtsbehörden sind bisher bei den ihrer Aufsicht unterliegenden Krankenkassen mW auch nicht tätig geworden.